[发明专利]一种基于公私钥对的深度学习模型水印的嵌入和提取方法

说明书

一种基于公私钥对的深度学习模型水印的嵌入和提取方法，包括：通过将深度卷积神经网络模型中的批归一化层转换成水印层，将鉴权信息通过水印嵌入损失函数在模型的训练过程中嵌入模型的任意一层或者任意几层，形成特异性水印，其中，将所述批归一化层中的缩放因子变成公钥和私钥，所述私钥为不可学习的缩放因子，在模型初始化阶段随机选取特征图生成，所述公钥为可学习的缩放因子，在训练过程中所述公钥随着所述私钥的改变而产生同步变化。通过对模型水印中的鉴权信息进行提取，能够实现模型所有权的认证。

技术领域

本发明涉及计算机视觉、深度学习、模型水印、医学影像、模型安全等领域，具体涉及一种基于公私钥对的深度学习模型水印的嵌入和提取方法。

背景技术

随着深度学习技术在近十年的快速发现，越来越多的传统计算机视觉任务逐渐被深度神经网络模型方法所取代，无论在传统的自然图像或是医学图像相关的分类，检测，分割等任务上，深度卷积神经网络在性能表现上有着非常明显的提升。在这个过程中，对于深度学习框架，模型，数据等方面的开源发挥了极其关键的作用，开源资源的轻松获取使得开发相关深度学习模型变得简单。尽管如此，在特定的图像任务上训练一个性能表现优异，能达到实际产品使用标准的深度学习模型仍然不是一件轻而易举的事情，主要的困难有以下几个方面：

(1)需要大量标注良好的带标签的数据，尤其对于复杂的任务而言，例如医学图像分割，需要专业的医生来完成，是一个十分耗时耗力的工作，因此标注的成本往往十分的高昂；

(2)需要充足的计算资源来完成深度学习模型的训练工作，对于商业级别的深度学习模型的训练往往需要大量的GPU资源以及较长的训练周期才能完成；

(3)对于一个出色的模型往往还需要研究开发人员对于模型的参数设置进行反复的调参以得到最优的参数结构，这个过程同样需要耗费大量的时间。

由于以上原因的存在使得深度学习模型的开发仍然是一个成本高昂的过程，然而目前一种可行的操作通常通过对已有预训练模型进行小规模数据集上的微调或者迁移学习，预训练模型往往构建在超大规模数据集上。这种操作所需要的数据规模小，时间、计算成本更低，微调之后的模型同样能够近似预训练模型的效果。这种方式的存在对于模型开发者往往是把双刃剑，既能够加快模型的开发，同时又需要考虑如何保护自己的知识产权。目前深度学习模型也逐渐成为很多商业公司的重要产品，因此对于这些模型的保护就会变得至关重要，一旦发生盗用或者在其基础上的二次开发就可能会产生较为严重的经济损失。因此为了保证整个领域的健康快速发展，鼓励大家的开源分享，这种深度学习模型知识产权的保护就显得格外重要。

对于目前常用的深度卷积神经网络模型，例如VGGNet，ResNet等，其模型本身不含有任何包含身份的信息，因此如果部署的模型发生了未经授权的拷贝或者窃取盗用的情况也很难及时发现，存在发现难、举证难的困境。很多公司机构希望分享的模型仅仅用于科研目的，避免被竞争对手所盗用，目前的模型特点往往很难满足这一点。为了保证深度学习模型不被窃用或者低成本的二次开发，需要实现以下两点：(1)模型在未经授权的情况下不可用；(2)模型在发生盗用时能够对模型的所有权进行举证。

参考在多媒体内容中被广泛使用的数字水印技术，可以尝试对深度学习模型添加同样的数字水印以实现身份的证明。目前关于深度学习模型的数字水印技术的研究还处于初始阶段，现有的一些方法往往存在身份认证模糊的问题，即如果未经授权的第三方获取到了模型，如果发现了其中存在水印，可以通过一系列逆向工程的方法仿造水印，或者通过一些去除攻击的方法来去除存在的水印，从而造成了模型的归属性上的认证困难。

发明内容

本发明所要解决的技术问题是：弥补上述技术的不足，提出一种基于公私钥对的深度学习模型水印的嵌入和提取方法，保证了模型在未经授权的条件下不可用，即使在发生窃用的情况下可以通过对水印中包含的身份信息的提取实现所有权的举证。

为实现上述目的，本发明采用以下技术方案：